Изследователи по информационна сигурност са се натъкнали на изцяло ново семейство рансъмуер заплахи с името PXJ, предава ThreatPost. Заплахата е била засечена за пръв път в началото на тази година и макар много от функционалностите ѝ да са сходни с други известни криптовируси, тя не използва същия код, който използват повечето рансъмуер програми, които са известни днес.

Откритието на PXJ принадлежи на IBM X-Force, които регистрират качването на две проби от заплахата във VirusTotal на 29-ти миналия месец.

„Появата на нови рансъмуер проби е почти всекидневно събитие днес, което е подпомогнато от възможността на новопоявили се членове на престъпната сцена, които могат да си закупят рансъмуер на изключително ниска цена или даже да се сдобият с него без пари в някой форум“, пише Меган Роди, член на екипа на X-Force. „Освен това, организираните престъпни групи използват рансъмуера да изнудват организациите и ги принуждават да преговарят с тях за откуп, който понякога достига нива от по няколко милиона за случай“.

Първоначалният вектор на инфектиране с PXJ все още не е известен. Веднъж стартиран, PXJ се грижи за това жертвата да не може да възстанови заключените данни, изпразва кошчето и деактивира Windows Error Recovery услугата. Следва и същинското криптиране на информацията. При този си процес, PXJ използва двойно криптиране (както с AES, така и RSA алгоритъм) – действие, което е често срещано и целта е да попречи на възстановяването на данните, даже при разбиване на криптирането. Следва и обичайната поява на бележка с искането за откуп (в биткойни), като неплащането на сумата в срок удвоява нейната стойност. На жертвата се дава една седмица като срок да плати искания откуп или информацията ще бъде загубена след изтриване на уникалния декриптиращ ключ.

При анализ на двете проби, специалистите отбелязват, че имейл адресите на хакерите, пуснатите файлове и мютексите (mutex – взаимноизключващ се обект, който позволява множество програмни нишки да споделят един и същ ресурс, като файлов достъп, но не едновременно) съвпадат един с друг. Това било параметър, проверяващ трафика, наречен „токен“, с Base-64 кодирана стойност. Но при единия файл съществува мрежова комуникация, която отсъства при другата проба, подсказвайки за еволюционно развитие между двете проби. Според Роди параметърът, открит в единия файл и отсъстващ в другия е създаден с цел операторите му да бъдат известени, че хост е бил инфектиран.

 

Това, което озадачава специалистите е файл, пуснат в системата при инфектирането с име Res.AAABANIx93RdufO4, чиято функция не е известна на IBM. Друго не толкова типично за този род атаки е изискването в бележката за откуп, тя да не бъде изтривана, което според специалистите служи да покаже, че самата бележка участва по някакъв начин в процеса по декриптиране.

0 0 глас
Оценете статията
Абонирай се
Извести ме за
guest
0 Коментара
Отзиви
Всички коментари